來自美國網(wǎng)絡(luò)安全企業(yè)PrrofPoint公司的研究人員報告稱，中國TA459 APT已經(jīng)利用CVE-2017-0199安全漏洞對多家金融企業(yè)實(shí)施攻擊。

ProofPoint公司的安全研究人員發(fā)布了一份針對TA459 APT間諜活動的詳盡分析報告，確認(rèn)其已經(jīng)利用CVE-2017-0199首個Microsoft Office RTF漏洞對多家主要金融企業(yè)的分析師進(jìn)行攻擊。報告還提到TA459 APT組織利用此項(xiàng)漏洞對俄羅斯及白俄羅斯的多個軍事及航空航天機(jī)構(gòu)實(shí)施入侵。

ProofPoint公司在發(fā)布的分析報告中指出：

ProofPoint公司正在追蹤相關(guān)攻擊方，且認(rèn)定相關(guān)惡意活動源自中國TA459間諜活動組織。該組織主要面向包括俄羅斯、白俄羅斯以及蒙古等中亞國家實(shí)施攻擊。TA459擁有多種惡意軟件，其中包括PlugX、NetTraveler以及ZeroT等。

TA459 APT組織至少自2013年以來就一直處于活躍狀態(tài)，且曾在攻擊活動中運(yùn)用NetTraveler、PlugX、Saker、Netbot、DarkStRat以及ZeroT等多種惡意軟件。這批黑客主要對俄羅斯及其鄰國境內(nèi)的各組織機(jī)構(gòu)實(shí)施間諜入侵。

TA459 APT組織的此輪攻擊活動則明顯針對電訊行業(yè)分析師，而且根據(jù)ProofPoint公司研究人員們的推測，此番入侵很可能屬于2015年夏季曾經(jīng)出現(xiàn)的惡意活動的后續(xù)計(jì)劃。

Proofpoint公司曾在當(dāng)時的報告中寫道：

ProofPoint公司的研究人員們最近發(fā)現(xiàn)一起針對俄羅斯電信及軍事機(jī)構(gòu)的間諜活動。這一惡意入侵始于2015年7月（或可能更早），且一直持續(xù)到同年8月。TA459 APT組織采用魚叉式釣魚攻擊

TA459 APT組織通過魚叉式釣魚郵件利用武器化Word文檔以觸發(fā)CVE-2017-0199漏洞。事實(shí)上，黑客們在微軟發(fā)布相關(guān)修復(fù)補(bǔ)丁的數(shù)天之后即開始利用這一Office安全漏洞。

當(dāng)受害者打開誘餌文件時，其將自動下載一個被偽裝為RTF文檔的HTML應(yīng)用（簡稱HTA）文件。此種攻擊手段利用PowerShell下載并執(zhí)行一套腳本，從而獲取并運(yùn)行ZeroT下載器。

攻擊者利用CVE-2017-0199通過名為0721.doc的Microsoft Word文檔對目標(biāo)展開攻擊。

該文檔使用這個邏輯漏洞首次從hxxp://122.9.52[.]215/news/power.rtf下載文件power.rtf。有效載荷實(shí)際上是一個HTML應(yīng)用文件（HTA文件），并非RTF文件。

從上圖可以看出，HTA的VBScript更改窗口大小和位置，之后利用PowerShell下載另一個腳本：power.ps1。這是一個下載并運(yùn)行ZeroT 有效載荷cgi.exe的PowerShell腳本。

Proofpoint公司同時注意到此次使用的ZeroT最新版本已有所改進(jìn)，包括使用合法的McAfee程序以進(jìn)行旁側(cè)加載，而非繼續(xù)使用原本的Norman Safeground程序。

這份分析報告進(jìn)一步補(bǔ)充稱：

自上一次分析以來，該攻擊集團(tuán)已經(jīng)對ZeroT進(jìn)行了漸進(jìn)式改進(jìn)。盡管其仍繼續(xù)使用RAR SFX格式作為初始有效載荷，但ZeroT現(xiàn)在開始使用一個名為mcut.exe的合法McAfee實(shí)用程序，而非繼續(xù)沿用原本的Norman Safeground AS作為旁側(cè)加載途徑。名為Mctl.mui的加密ZeroT載荷將在內(nèi)存中進(jìn)行解碼，其顯示出與此前類似的經(jīng)篡改PE標(biāo)題頭，且與此前分析的ZeroT有效載荷相比僅在代碼層面作出小幅改動。當(dāng)ZeroT運(yùn)行時，Proofpoint公司稱觀察到請求中使用的偽造用戶代理從Mozilla/6.0 (compatible; MSIE 10.0; Windows NT 6.2; Tzcdrnt/6.0)更改為Mozilla/6.0 (compatible; MSIE 11.0; Windows NT 6.2)，因此刪除了先前版本中出現(xiàn)的Tzcdrnt的字樣。index.php的初始信標(biāo)（Beacon）更改為index.txt，但是ZeroT仍使用靜態(tài)密鑰“(*^GF(9042&*”進(jìn)行RC4加密響應(yīng)?！?

接下來，ZeroT使用HTTP信標(biāo)將被感染系統(tǒng)的相關(guān)信息傳輸?shù)紺2服務(wù)器，所有文件都經(jīng)過加密處理。之后，第二階段的有效載荷仍被檢索為Bitmap（BMP）圖片，而BMP圖片使用最低有效位（LSB）隱寫術(shù)（Steganography）隱藏真實(shí)的有效載荷。這些圖片在圖像查看器中看似正常。

第二階段有效載荷是發(fā)送信標(biāo)到C2服務(wù)器www[.]icefirebest[.]com和www[.]icekkk[.]net的PlugX。

另一個有趣的ZeroT樣本（SHA256 bc2246813d7267608e1a80a04dac32da9115a15b1550b0c4842b9d6e2e7de374）包含在RAR SFX存檔中的可執(zhí)行文件0228.exe和誘餌文件0228.doc中。Proofpoint認(rèn)為，捆綁誘餌文件是該組織的常用策略。執(zhí)行惡意有效載荷時，RAR SFX 指令用于顯示誘餌。

攻擊指示器（Indicators of Compromise）

　　攻擊指示器（Indicators of Compromise）-- 相關(guān)

Proofpoint公司報告稱，TA459 APT組織曾在上一波攻擊活動當(dāng)中同時使用PlugX外加一種被命名為PCrat/Ghost的木馬。

安全專家們向相關(guān)多國組織機(jī)構(gòu)發(fā)出警告，提醒其保持警惕并強(qiáng)調(diào)攻擊者在此類網(wǎng)絡(luò)間諜活動當(dāng)中開始采用更為復(fù)雜的惡意軟件。

Proofpoint公司總結(jié)表示像TA459這樣的黑客組織一直在進(jìn)行持續(xù)攻擊，且利用較為傳統(tǒng)的惡意軟件威脅、網(wǎng)絡(luò)釣魚活動以及社交工程等手段瞄準(zhǔn)從事特定研究工作并擁有專業(yè)知識的相關(guān)專家，這一切都令目標(biāo)組織機(jī)構(gòu)的安全狀況呈現(xiàn)出更為復(fù)雜的態(tài)勢。